El actor de amenazas encuadrado con Rusia conocido como UAC-0184 Se ha observado que un ataque dirigido a entidades militares y gubernamentales de Ucrania aprovecha la plataforma de transporte Viber para entregar archivos ZIP maliciosos.
“Esta estructura ha seguido llevando a parte actividades de compendio de inteligencia de entrada intensidad contra departamentos militares y gubernamentales de Ucrania en 2025”, dijo el Centro de Inteligencia de Amenazas 360 en un referencia técnico.
Asimismo conocido como Hive0156, el montón de hackers es conocido principalmente por exprimir señuelos con temas de combate en correos electrónicos de phishing para entregar Hijack Loader en ataques dirigidos a entidades ucranianas. Seguidamente, el cargador de malware actúa como vía para las infecciones Remcos RAT.
El actor de amenazas fue documentado por primera vez por CERT-UA a principios de enero de 2024. Se ha descubierto que campañas de ataque posteriores aprovechan aplicaciones de transporte como Signal y Telegram como transporte de distribución de malware. Los últimos hallazgos de los proveedores de seguridad chinos apuntan a una decano cambio de esta táctica.
La dependencia de ataque implica el uso de Viber como vector de intrusión original para distribuir archivos ZIP maliciosos que contienen múltiples archivos de golpe directo de Windows (LNK) disfrazados de documentos oficiales de Microsoft Word y Excel para engañar a los destinatarios para que los abran.
Los archivos LNK están diseñados para servir como documento señuelo para que la víctima reduzca sus sospechas, mientras ejecuta silenciosamente Hijack Loader en segundo plano al recuperar un segundo archivo ZIP (“smoothieks.zip”) de un servidor remoto mediante un script de PowerShell.
El ataque reconstruye e implementa Hijack Loader en la memoria a través de un proceso de varias etapas que emplea técnicas como carga adyacente de DLL y pisotón de módulos para eludir la detección por parte de las herramientas de seguridad. Luego, el cargador escanea el entorno en rebusca de software de seguridad instalado, como los relacionados con Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot y Microsoft, calculando el hash CRC32 del software correspondiente.
Adicionalmente de establecer la persistencia mediante tareas programadas, el cargador toma medidas para trastornar la detección de firmas estáticas antiguamente de ejecutar de forma estafa Remcos RAT inyectándolo en “chime.exe”. La utensilio de despacho remota otorga a los atacantes la capacidad de regir el punto final, ejecutar cargas avíos, monitorear actividades y robar datos.
“Aunque se comercializa como software cierto de diligencia de sistemas, sus poderosas capacidades intrusivas hacen que varios atacantes maliciosos lo utilicen con frecuencia para actividades de ciberespionaje y robo de datos”, dijo el 360 Threat Intelligence Center. “A través del panel de control de la interfaz gráfica de beneficiario (GUI) proporcionado por Remcos, los atacantes pueden realizar una diligencia automatizada por lotes u operaciones interactivas manuales precisas en el host de la víctima”.
